QuantumBuilderマルウェア
Cybleのセキュリティ研究者は、.lnkショートカットファイルを使用して最終的なペイロードを配信するマルウェアの増加に関する新しいレポートを公開しました。レポートのハイライトの1つは、Quantumと呼ばれる.lnkファイルビルダーでした。
Quantumは、ハッカーフォーラムで、サブスクリプションサービスとして、または生涯使用するための1回限りの支払いとして販売されます。月額サブスクリプションは約190ユーロで、1回の購入はなんと1500ユーロです。
このマルウェアは、正当なファイル拡張子を偽装する機能を備えていると主張しており、300種類のアイコンがパッケージ化されています。マルウェアの作成者によって投稿された広告資料は、Quantumが被害者のシステムの任意のディレクトリに最終的なペイロードをドロップし、システムの起動時または事前に設定された遅延後に、Powershellを使用して管理者アカウント権限でペイロードを実行できると主張しています。
Cybleは、デフォルト設定では、Windowsは.lnk拡張子を非表示にするため、ファイル名が「document.txt.lnk」の場合、ファイルは「document.txt」として表示されると指摘しました。ただし、その小さなトリックでも、ファイルのアイコンの左下にある小さなショートカットアイコンが保持されます。
研究者たちはまた、クォンタムマルウェアとラザルスグループAPTの間に関連がある可能性があることを発見しました。難読化解除の指示と変数が初期化される方法は、Lazarusが使用するサンプルとQuantumBuilderを使用するサンプルの間で基本的に同じでした。